La Agencia Española de Protección de datos ha aprobado las primeras normas corporativas vinculantes, las conocidas BCR -por su traducción en inglés Binding Corporate Rules-.
Estas políticas de protección de datos afectan a las transferencias internacionales de datos personales dentro de grupos empresariales.
El considerando 110 GDPR establece que "todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal".
La AEPD ha sido una de las agencias pioneras en la Unión Europea en proponer dichas BCR.